Il regolamento europeo sull'intelligenza artificiale raggiunge una nuova scadenza, ma il Digital Omnibus ha riscritto il calendario. Per IT manager e decision maker la posta in gioco si sposta dagli obblighi sui sistemi ad alto rischio alla trasparenza e all'applicabilità delle sanzioni.
Da mesi il 2 agosto 2026 viene presentato come la data spartiacque dell’AI Act, il primo quadro normativo organico al mondo dedicato all’intelligenza artificiale. La narrazione dominante lo descrive come una sorta di anno zero: il momento in cui il regolamento europeo diventa pienamente operativo e le imprese che usano sistemi di AI si trovano improvvisamente esposte a obblighi stringenti e sanzioni milionarie.
La realtà, come spesso accade quando una norma complessa incontra la concretezza dei processi aziendali, è più articolata e merita una lettura priva di allarmismo.
Il contesto: una normativa che si applica per fasi
L’AI Act è entrato in vigore nell’agosto 2024, ma il legislatore europeo ha scelto fin dall’inizio un’applicazione scaglionata, calibrata sul livello di rischio. Le pratiche vietate e gli obblighi di alfabetizzazione sull’AI sono diventati applicabili già dal 2 febbraio 2025.
Le regole sui modelli di AI per finalità generali, i cosiddetti GPAI, insieme all’architettura di governance e all’impianto sanzionatorio, si applicano dal 2 agosto 2025. Il 2 agosto 2026 era stato pensato come il punto di arrivo: l’attivazione del corpo principale del regolamento, inclusi gli obblighi più onerosi sui sistemi ad alto rischio elencati nell’Allegato III.
Cosa cambia il 2 agosto 2026
Qui interviene l’elemento più importante per chi deve pianificare gli investimenti dei prossimi mesi. Con il Digital Omnibus, il pacchetto di semplificazione presentato dalla Commissione il 19 novembre 2025 e oggetto di un accordo provvisorio tra Consiglio e Parlamento il 7 maggio 2026, il calendario è stato ridisegnato.
La formalizzazione è attesa entro luglio 2026, a ridosso della scadenza. Gli obblighi per i sistemi ad alto rischio dell’Allegato III, quelli che riguardano ambiti sensibili come biometria, occupazione, accesso ai servizi essenziali o istruzione, slittano dal 2 agosto 2026 al 2 dicembre 2027. Per l’AI integrata in prodotti già regolamentati (Allegato I) la scadenza si sposta al 2 agosto 2028.
Il 2 agosto 2026, dunque, non porta con sé l’ondata di adempimenti sui sistemi ad alto rischio che molti temevano. Restano però due fronti tutt’altro che marginali: gli obblighi di trasparenza dell’articolo 50 e la piena applicabilità del regime sanzionatorio, accompagnati dall’operatività delle autorità nazionali di vigilanza e dall’obbligo per ogni Stato membro di istituire almeno un ambiente di sperimentazione normativa, il cosiddetto AI sandbox.
Perché conta ora, nonostante il rinvio
Sarebbe un errore interpretare lo slittamento come un liberi tutti. Gli obblighi di trasparenza toccano una platea molto più ampia rispetto ai sistemi ad alto rischio, perché riguardano qualunque organizzazione che impieghi intelligenza artificiale generativa a contatto con il pubblico.
Un’azienda che utilizza un chatbot nel servizio clienti, che genera contenuti sintetici per il marketing o che adotta strumenti di produzione automatica di testi e immagini rientra in questo perimetro. E le sanzioni, con massimali fino a 35 milioni di euro o al 7% del fatturato globale annuo per le violazioni più gravi, diventano effettivamente esigibili.
Va inoltre ricordato che gli obblighi sui modelli di AI per finalità generali sono già in vigore dall’agosto 2025. Chi sviluppa o mette a disposizione modelli fondazionali deve rispettare requisiti di documentazione tecnica, trasparenza sui dati di addestramento e gestione del rischio sistemico per i modelli più potenti.
Per la maggior parte delle imprese italiane, che di questi modelli sono utilizzatrici e non produttrici, l’effetto è indiretto ma reale: la responsabilità si propaga lungo la catena del valore, e diventa legittimo – anzi opportuno – chiedere ai propri fornitori tecnologici garanzie esplicite di conformità. Il Digital Omnibus, peraltro, non si è limitato a rinviare scadenze: ha anche introdotto nuovi divieti, tra cui quello relativo alla generazione di immagini intime non consensuali, a conferma che la direzione di marcia resta quella di un perimetro regolatorio in espansione.
Le implicazioni operative
L’articolo 50 impone obblighi concreti e immediatamente verificabili. I sistemi conversazionali devono rendere riconoscibile all’utente l’interazione con una macchina, salvo i casi in cui ciò sia evidente. I contenuti generati o manipolati artificialmente – audio, immagini, video, testo – devono recare una marcatura tecnica leggibile dalle macchine che ne consenta il riconoscimento.
I deepfake vanno dichiarati come tali, e i sistemi di riconoscimento delle emozioni o di categorizzazione biometrica richiedono un’informativa preventiva alle persone esposte. Per molte imprese italiane queste prescrizioni non sono teoriche: incidono direttamente sui flussi di comunicazione, customer care e produzione di contenuti già operativi.
Un esempio concreto chiarisce la portata di questi obblighi. Un’impresa manifatturiera che abbia introdotto un assistente virtuale sul proprio sito per gestire le richieste commerciali, e che utilizzi strumenti generativi per produrre schede prodotto o materiali di comunicazione, si trova già oggi nel perimetro dell’articolo 50: deve segnalare all’utente che sta dialogando con un sistema automatico e deve garantire che i contenuti generati siano riconoscibili come tali.
Non si tratta di adempimenti complessi sul piano tecnologico, ma richiedono una ricognizione puntuale di dove e come l’AI è effettivamente impiegata in azienda, spesso in modo più diffuso e meno governato di quanto il management immagini.
L’impatto organizzativo
La vera difficoltà non è tecnica ma organizzativa. La conformità all’AI Act non può essere delegata a una singola funzione: richiede il coordinamento tra IT, ufficio legale, risorse umane e marketing.
Significa dotarsi di policy interne sull’uso dell’AI, documentare la formazione del personale – peraltro già obbligatoria dal febbraio 2025 – costruire un inventario dei sistemi di intelligenza artificiale effettivamente in uso e garantirne la tracciabilità anche in chiave GDPR.
Senza queste evidenze documentali, l’azienda resta esposta in caso di controllo da parte dell’Agenzia per la Cybersicurezza Nazionale, individuata tra le autorità competenti nel contesto italiano.
Rischi e aspetti critici
Il rinvio introduce un rischio sottile ma concreto: la deresponsabilizzazione. La sensazione che ci sia ancora tempo può indurre molte organizzazioni, soprattutto le PMI con risorse IT limitate, a rimandare ogni iniziativa. È un calcolo miope.
Gli standard armonizzati che dovranno guidare la conformità dei sistemi ad alto rischio non sono ancora finalizzati, e proprio la loro complessità ha motivato lo slittamento. Le imprese che attenderanno la vigilia del dicembre 2027 si troveranno a dover costruire in pochi mesi capacità di governance che richiedono molto più tempo per essere interiorizzate.
Interpretazione strategica
Conviene leggere l’AI Act non come un adempimento burocratico ma come l’occasione per dotarsi di una governance dell’intelligenza artificiale. La differenza è sostanziale. Un’impresa che sa quali sistemi di AI utilizza, con quali dati, con quali responsabilità e con quali garanzie di trasparenza verso clienti e dipendenti, non sta solo evitando una sanzione: sta costruendo un asset di fiducia e affidabilità che pesa sempre di più nei rapporti commerciali B2B, dove la richiesta di garanzie sulla catena tecnologica è in costante aumento.
Conclusione e prospettive
Il 2 agosto 2026 è una tappa, non un traguardo. Segna l’ingresso nella fase in cui trasparenza e sanzioni diventano realtà operativa, mentre la prova più impegnativa – gli obblighi sui sistemi ad alto rischio – è semplicemente rinviata al dicembre 2027.
Per IT manager, CIO e decision maker il messaggio è chiaro: usare i mesi che separano dalle scadenze più stringenti non per attendere, ma per costruire l’infrastruttura di governance, le competenze e la documentazione che renderanno la conformità un processo gestito anziché un’emergenza. I
n un mercato europeo che fa della regolazione un tratto distintivo, la maturità nell’uso responsabile dell’AI sarà sempre meno un vincolo e sempre più un fattore competitivo.
